मेरे पास एक ubuntu सर्वर चल रहा है। आज मैंने पाया कि सर्वर हैक हो गया और इसका उपयोग DDoS के लिए amazon दुरुपयोग की रिपोर्ट के माध्यम से किया जा रहा है।
मुझे सर्वर पर निम्नलिखित चीजें मिलीं।
निम्नलिखित संदिग्ध फाइलें जहां सर्वर पर हैं।
-rw-r--r-- 1 www-data www-data 759 Dec 21 15:38 weiwei.pl
-rwxrwxrwx 1 www-data www-data 1223123 Dec 26 02:20 huizhen
-rwxr-xr-x 1 www-data www-data 5 Jan 26 14:21 gates.lod
-rwxrwxrwx 1 www-data www-data 1135000 Jan 27 14:09 sishen
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.5
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.4
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.3
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.2
-rw-r--r-- 1 www-data www-data 759 Jan 27 14:36 weiwei.pl.1
-rwxr-xr-x 1 www-data www-data 5 Jan 28 14:00 vga.conf
-rw-r--r-- 1 www-data www-data 119 Jan 29 06:22 cmd.n
-rw-r--r-- 1 www-data www-data 73 Feb 1 01:01 conf.n
निम्नलिखित प्रक्रिया चल रही थी
www-data 8292 10629 0 Jan28 ? 00:00:00 perl /tmp/weiwei.pl 222.186.42.207 5222
www-data 8293 8292 0 Jan28 ? 00:00:00 /bin/bash -i
www-data 8293 8292 0 Jan28 ? 00:00:00 ./huizhen
मैं भाग गया clamav
और इसे हटा दिया /tmp/huizhen
और /tmp/sishen
फाइलें लेकिन प्रक्रियाएं अभी भी चल रही थीं weiwei.pl
और ./huizhen
इसलिए मैंने उन्हें मैन्युअल रूप से मार दिया।
मेरे पास सर्वर पर चलने वाली निम्नलिखित सेवाएं हैं।
- SSH - डिफ़ॉल्ट पोर्ट 22 का उपयोग नहीं, केवल कुंजी प्रमाणीकरण
- MongoDB - पोर्ट एक विशिष्ट सुरक्षा समूह के लिए खुला है
- Memcache - पोर्ट एक विशिष्ट सुरक्षा समूह के लिए खुला है
- NodeJS - पोर्ट एक विशिष्ट सुरक्षा समूह के लिए खुला है
- Tomcat - 8080/8443 पोर्ट ax2 webservice और solr के लिए सार्वजनिक हैं
मेरी धारणा यह है कि हैकर को कुछ टॉमकैट / एक्सिस 2 / सॉल भेद्यता के माध्यम से मिला क्योंकि प्रक्रिया टॉमकट के समान उपयोगकर्ता समूह का उपयोग करके चल रही है।
मैंने अभी के लिए 8080/8443 पोर्ट को ब्लॉक कर दिया है और एक नए के साथ सर्वर को रिप्लेस किया जाएगा। टॉमकैट नगनेक्स के माध्यम से एक अलग सर्वर से सुलभ होगा। मैंने अनअटेंडेड-अपग्रेड का उपयोग करके सुरक्षा पैच भी लगाए हैं ।
समस्या यह है कि हैकर कैसे मिल गया और ट्रोजन को लगाया। सुरक्षा को और कड़ा करने के लिए मैं और क्या कदम उठा सकता हूं।